Анонс корпорации Microsoft о том, что она собирается обеспечить поддержку архитектуры защиты Kerberos (“Цербер”) в Windows NT 5.0,  -  только шаг на пути к использованию общих технологий безопасности Internet.

 

Группа по разработкам для Internet (IETF) предлагает два пути объединения с Kerberos и широким спектром схем организации защиты на базе технологий шифрования с открытым ключом. Задача обоих проектов  -  совместить преимущества производительности, имеющиеся у Kerberos, с безопасностью и гибкостью систем с открытым ключом типа электронных сертификатов и технологий защиты транспортного уровня, таких, как SSL (безопасность уровня разъема).

 

Первый проект представляет собой одну из составных частей системы безопасности, названной TLS (Transport Layer Security  -  безопасность транспортного уровня), которая, похоже, скоро станет стандартом, сообщил Джонатан Тростл, менеджер по исследованиям и разработке из корпорации CyberSafe (Иссака, шт. Вашингтон). Тростл выступал соавтором обоих проектов.

 

TLS базируется в основном на SSL, но также включает разработанные Microsoft технологии, названные PCT (Private communications technology  -  технология частных коммуникаций). На первых порах SSL будет поддерживать шифрование Kerberos.

 

Kerberos представляет собой технологию “секретных ключей”, когда все ключи хранятся на сервере. Пользователи получают доступ к ресурсам с помощью специального пароля Kerberos, который сравнивается с соответствующим ключом для идентификации.

 

SSL  -  технология шифрования, базирующаяся на общих и личных ключах: пользователь имеет свой личный ключ для шифрования сообщений, а дешифрация выполняется с применением общего ключа.

 

Согласно второму проекту IEFT от Kerberos требуется поддержка всех схем с открытым ключом. Среди выгод этого метода, как сказал Тростл, возможность регистрации в сети с использованием электронного сертификата. Это может решить одну из самых больших проблем технологии открытых ключей  -  “привязанность” личных ключей к конкретным ПК. По словам Тростла, расширения Kerberos дадут пользователям возможность регистрироваться в сети с любого ПК в intranet, если они будут вводить пароль, а сервер Kerberos будет “возвращать” им личный ключ для использования в течение сеанса связи.

 

Пока Microsoft обеспечивает поддержку объединения с Kerberos и технологией открытых ключей, система безопасности в следующей версии NT, бета-вариант которой ожидается в первой половине 1997 г., базируется только на Kerberos. Администраторы, однако, могут обеспечить аутентификацию путем создания “карты соответствий” сертификатов открытых ключей пользовательским ID в новой каталоговой службе NT 5.0.

 

В рамках интеграции с Kerberos Microsoft обеспечит поддержку в NT 5.0 другого стандарта IETF, названного GSS-API (General security services API  -  для основных услуг безопасности). GSS-API обеспечивает высокоуровневый интерфейс для создания приложений с использованием любых механизмов обеспечения безопасности типа Kerberos и технологий защиты с открытыми ключами.

 

Майкл Мюллер, Норвин Лич

 

ПРОЕКТЫ ШИФРОВАНИЯ IEFT

 

TLS

 

- Объединит SSL корпорации Netscape, PCT корпорации Microsoft и Kerberos

 

- Позволит осуществлять защищенную связь между браузером и сервером

 

Kerberos

 

- В настоящее время  -  серверная технология защиты на базе секретных ключей

 

- Планируется добавить возможности шифрования с открытым ключом типа электронных сертификатов

 

- Даст возможность один раз регистрироваться в сети Kerberos с помощью электронного сертификата

 

GSS-API

 

- Представляет собой единый набор API для построения разнообразных систем шифрования

 

- Поддерживает технологии с общими личными ключами и технологии с секретными ключами типа Kerberos